Kankan - eine chinesische Trojaner-Geschichte
Die Analysten von Eset haben eine mysteriöse Geschichte über einen Trojaner zusammengetragen, der vor allem in China Verbreitung fand. Die Bestandteile: infizierte PCs und Smartphones, ein reumütiger Software-Hersteller und mehrere offene Rätsel.
Vor allem in China fand ein Trojaner Verbreitung, der eine ganze Reihe von Besonderheiten aufwies und unter anderem über Windows PCs auch Android-Smartphones infizierte. Wie Eset in einem Blog-Beitrag dokumentiert, hatte eine beliebte chinesische Software-Firma die Hintertür-Software entwickelt, digital signiert und dann offenbar auch genutzt. Mittlerweile ist die Gefahr gebannt – so denn eine bestand – auch wenn einige Rätsel ungeklärt bleiben.
(Bild: Eset)
Das wichtigste Produkt der Firma Xunlei Networking Technologies ist ein Downloader und Torrent-Client, der nur in China verbreitet ist. Dort ist er aber so beliebt, dass er es mit über 100 Millionen Installationen noch vor utorrent auf Platz Eins der Top-Ten-Liste von TorrentFreak schaffte. Xunlei spielt die Hauptrolle in dieser Trojaner-Geschichte.
Der von Eset KanKan genannte Trojaner weist eine Reihe von Besonderheiten auf. Er trug eine gültige, digitale Signatur der Firma Xunlei und verankert sich bei der Installation im Windows-System nur als Office-Erweiterung namens InputEnhance. So wird deren Bibliothek INPENh.dll bei jedem Start von Word, Excel oder Powerpoint geladen. Die bei Malware sonst gebräuchlichen Autostart-Mechanismen lässt er anscheinend unbeachtet. Aber er vermeidet gezielt die Systeme von Security-Analysten, indem er vor der Installation die Anwesenheit von speziellen Tools wie den OllyDbg checkt.
Einmal aktiv, startet KanKan einen Dienst auf dem System, der mit externen Servern kommuniziert. Der interessanteste Befehl dieser Kommunikation trägt den vielsagenden Namen: installphoneapp. Zu dessen Ausführung installiert der Trojaner die Android Debug Bridge (ADB), lädt ein Android-Installationspaket aus dem Netz und schiebt es auf angeschlossene Android Smartphones. Das funktioniert jedoch nur, wenn dort USB-Debugging aktiviert ist, was wohl eher die Ausnahme sein dürfte.
Eset beobachtete insgesamt vier verschiedene APKs, die KanKan auf diesem Weg zwangsinstallierte. Drei davon stellen eigene, chinesische Android-Markets bereit, die vierte soll Telefongespräche zu günstigen Tarifen ermöglichen und ist immer noch auf Google Play zu finden. Interessanterweise konnten die Eset-Analysten bislang bei keiner dieser heimlich installierten Apps eine echte Schadfunktion entdecken; die Motivation zur Installation ist nach wie vor unklar.
Die Spuren von KanKan führten eindeutig zu Xunlei. Da war nicht nur die gültige digitale Signatur; auch einige der beobachteten Server konnten dorthin zurückverfolgt werden. Nach massiven Beschwerden von Anwendern hat diese Firma im August auch die Verantwortung für das Programm übernommen. Demnach hat eine Tochterfirma die Software ohne Wissen des Mutterkonzerns erstellt und verbreitet. Die Verantwortlichen wurden angeblich entlassen.
Ungewöhnlich ist auch das weitere Vorgehen: Die Firma ließ offenbar die Command&Control-Struktur des Trojaners intakt und verteilt darüber nunmehr einen Uninstaller, der laut Eset auch seinen Zweck erfüllt und alle Hinterlassenschaften des Programms entfernt. Die von Eset beobachteten Verbreitungszahlen sind in der Folge drastisch zurück gegangen.
Trotzdem bleiben bei Esets chinesischer Trojaner-Story nach wie vor einige Fragen offen: Wie kam der Trojaner ursprünglich auf die Rechner? Was war die eigentliche Motivation dahinter? Wir werden es wohl nie erfahren. (ju)
